Vad är CER-direktivet, och hur är det kopplat till NIS2-direktivet?

Martin Holmqvist 6 oktober, 2023

Introduktion

En koppling till NIS och NIS2 direktivet

I slutet av 2022 antog Europaparlamentet och Europeiska unionens råd två nya EU-direktiv, direktivet om kritiska entiteters motståndskraft (CER-direktivet) samt direktivet om åtgärder för en högre gemensam cybersäkerhetsnivå i hela unionen (NIS2-direktivet). Många som arbetar inom säkerhetsområdet vet eller har hört talats om NIS-direktivet eller dess ersättare NIS2-direktivet men färre har hört talats om CER-direktivet.

Vad är CER-direktivet och vilka kopplingar har det till NIS2?

Som nämndes inledningsvis är det många som redan känner till NIS2-direktivet, men kort handlar det bland annat om att införa högre säkerhet för bolag som är verksamma inom antingen nätverks- och informationssystem eller tillhandahåller tjänster som går inom vad man brukar kalla för samhällsviktig verksamhet inom unionen. Detta för att tillsammans skapa en hög gemensam cybersäkerhetsnivå och samtidigt verka för att alla medlemsländer utgår från samma uppsatta krav.

I CER-direktivet ingår alltså inte risker kopplade till cybersäkerhet eller hot från cyberattacker utan detta hanteras i NIS2-direktivet.

CER-direktivet handlar om att säkerställa motståndskraften av samhällsviktig verksamhet. Att förebygga, motstå och hantera störningar eller avbrott i verksamheten inom unionen när det handlar om olyckor, naturkatastrofer, hot mot folkhälsan såsom pandemier och hybridhot. Men även andra hot där det finns en angripare, till exempel vid terroristbrott, brottslig infiltration eller sabotage. I CER-direktivet ingår alltså inte risker kopplade till cybersäkerhet eller hot från cyberattacker utan detta hanteras i NIS2-direktivet.

Såväl NIS2-direktivet som CER-direktivet är så kallade minimidirektiv. Det betyder att varje medlemsland själv bestämmer om de vill höja ribban och sätta högre krav än de som är presenterade i direktivet.

Likheter mellan de olika direktiven

Med det sagt finns det många likheter mellan de olika direktiven. Om man kollar på vilka områden (nämns som sektorer i direktiven) som omfattas i CER- respektive NIS2-direktivet är det samma områden utifrån perspektivet av CER-direktivet. I tabellen nedan ser man vilka områden som både finns med i CER- respektive NIS2-direktivet.

Område (sektor)	CER-direktivet	NIS2-direktivet
Energi	x	x
Transport	x	x
Bankverksamhet	x	x
Finansmarknadsinfrastruktur	x	x
Hälso- och sjukvård	x	x
Dricksvatten	x	x
Avloppsvatten	x	x
Digital infrastruktur	x	x
Offentlig förvaltning	x	x
Rymden	x	x
Produktion, bearbetning och distribution av livsmedel	x	x

Vidare finns det likheter kring de olika kraven som ställs av de olika direktiven för de samhällsviktiga verksamheterna (nämns som kritiska entiteter i direktiven), bland annat:

Incidentrapportering – Samhällsviktiga verksamheter måste rapportera till berörd myndighet vid en betydande störning av en samhällsviktig tjänst.
Riskbedömning – De samhällsviktiga verksamheterna genomföra en riskbedömning som omfattar relevanta risker som eventuellt kan leda till en incident.

Det finns även likheter i de olika direktiven kring vad varje medlemsland behöver sätta upp, de behöver bland annat:

Upprätta en strategi för att stärka entiteters (de samhällsviktiga verksamheternas) motståndskraft
Upprätta en förteckning på samhällsviktiga verksamheter samt bestämma hur den skall uppdateras
Utse behöriga tillsynsmyndigheter som exempelvis har rätt att utföra inspektioner på kritisk infrastruktur eller på riskhanteringsåtgärder samt utföra säkerhetsrevisioner
Utse en gemensam kontaktpunkt med de övriga medlemsländerna
Utföra en riskbedömning per sektor och undersektor

Det är viktigt att understryka att det ännu inte är fastställt hur Sverige som medlemsland och de samhällsviktiga verksamheterna som berörs av CER kommer att behöva agera utifrån ovan punkter. Detta är något som den pågående utredningen ska komma fram till och som sedan regeringen ska besluta. Troligen kommer utredarna undersöka hur vissa av punkterna ovan lösts i NIS-direktivet och använda det som en fingervisning för den pågående CER utredningen. I ett av skälen i Europaparlamentets och Rådets direktiv (EU) 2022/2557 nämner man också att med tanke på hur viktigt det är med cybersäkerheten för kritiska entiteters motståndskraft och för att skapa enhetlighet så bör man, när det är möjligt, säkerställa samstämmighet mellan dessa två direktiv.

Varför CER-direktivet?

I ett av skälen i CER-direktivet ansåg Europaparlamentet och Rådet att det var nödvändigt att få till ett nytt EU direktiv kring entiteters motståndskraft (CER-direktivet) eftersom verksamheter som använder kritisk infrastruktur arbetar mer gränsöverskridande och är mer sammanlänkade idag. Tidigare fanns det enbart två sektorspecifika unionsrätter, inom energi- och transportsektorn där man hanterade entiteters motståndskraft genom olika skyddsåtgärder för enskilda tillgångar inom dessa sektorer men det var inte tillräckligt för att förhindra att alla störningar äger rum. I och med detta behöver man öka samarbetet mellan kritiska entiteter inom medlemsländerna samt att alla medlemsländer får samma krav att följa och då var det nödvändigt att få till ett direktiv som hanterar ett mer heltäckande sätt att hantera motståndskraften för fler sektorer än de två som nämns ovan.

Vad händer nu?

I och med att både CER- och NIS2-direktivet antogs av Europaparlamentet och Rådet i slutet av 2022 har Sveriges regering tillsatt en särskild utredning för att föreslå anpassningar av svensk rätt som är nödvändiga för att båda dessa direktiv skall kunna genomföras.
Utredningen ska redovisas senast den 23 februari 2024 och därefter skall regeringen ta beslut kring den. I och med att CER-direktivet och NIS2-direktivet träder i kraft den 18 oktober 2024 kommer samhällsviktiga verksamheter i Sverige som omfattas av direktiven endast ha knappt 8 månader på sig att uppdatera rutiner och anpassa sin organisation för att uppfylla de nya direktiven. Detta kommer bli en väldigt tuff utmaning, speciellt om man aldrig gjort något liknande innan.

Vad kan man som verksamhet göra i dagsläget?

För att ha en rimlig möjlighet att kunna följa de två olika direktiven från och med den senare delen av 2024 behöver organisationer redan nu börja fundera på om man anser sig vara en samhällsviktig verksamhet men också fundera på vilken eller vilka som eventuellt skulle kunna vara en samhällsviktig verksamhet inom hela leveranskedjan. Det är viktigt att inte glömma bort att säkerställa säkerheten i hela leveranskedjan eftersom en störning av den skulle kunna få stora konsekvenser, inte bara för den egna verksamheten, utan även för andra områden och över gränserna. Är man det minsta osäker är det viktigt att man utreder detta.

En bra början är att öka förståelsen för båda direktiven. Det kan man få genom att läsa denna artikel men även gå igenom annan befintlig dokumentation, så som Europaparlamentets och Rådets direktiv (EU) 2022/2557 (CER-direktivet) samt Europaparlamentets och Rådets direktiv (EU) 2022/2555 (NIS2-direktivet).

Eftersom både incidenthantering och riskbedömning är centrala krav i de både direktiven som de samhällsviktiga verksamheterna behöver uppfylla är detta något som organisationen kan börja med.

Vidare kan det även vara bra att läsa igenom regeringens kommittédirektiv gällande CER- och NIS2-direktivet samt följa vilket beslut som regeringen kommer ta, utifrån resultatet av den pågående utredningen, gällande CER- och NIS2-direktivet.

Eftersom både incidenthantering och riskbedömning är centrala krav i de både direktiven som de samhällsviktiga verksamheterna behöver uppfylla är detta något som organisationen kan börja med. Speciellt om man inte har en incidenthanteringsprocess eller rutin på plats eller om man inte utfört någon riskanalys tidigare.

Det kan även vara bra för organisationer att förstå vad som klassas som en samhällsviktig verksamhet enligt CER-direktivet. Nedan ser ni vilka kriterier som behöver uppfyllas:

Entiteten tillhandahåller en eller flera samhällsviktiga tjänster
Entiteten bedriver verksamhet, och dess kritiska infrastruktur är belägen, på denna medlemslands territorium.
En incident skulle få betydande störande effekter för entitetens tillhandahållande av en eller flera samhällsviktiga tjänster

Undantag

Det finns vissa undantag då samhällsviktig verksamhet inte behöver följa CER- eller NIS2-direktivet, till exempel vid vissa fall där verksamheten är kopplad till nationell säkerhet, men detta är inget som vi kommer gå in på i denna artikel. För mer information kan man gå till Europaparlamentets och Rådets direktiv (EU) 2022/2557 och fördjupa sig mer kring vilka undantag som finns.

Om
Senaste inläggen

Martin Holmqvist

Martin har en lång bakgrund inom IT-branschen och dataskydd där han arbetat både inom offentliga och privata verksamheter.

Senaste inläggen av Martin Holmqvist

Vad är CER-direktivet, och hur är det kopplat till NIS2-direktivet? - 6 oktober, 2023

Cookie	Varaktighet	Beskrivning
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-functional	1 year	The cookie is set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
JSESSIONID	session	The JSESSIONID cookie is used by New Relic to store a session identifier so that New Relic can monitor session counts for an application.

Cookie	Varaktighet	Beskrivning
_zcsr_tmp	session	Zoho sets this cookie for the login function on the website.
1e5a17c8ab	session	This cookie is set in relation to Zoho Campaigns
AnalyticsSyncHistory	1 month	No description
bscookie	1 year	LinkedIn sets this cookie to store performed actions on the website.
lang	session	LinkedIn sets this cookie to remember a user's language setting.
li_gc	5 months 27 days	Used to store consent of guests regarding the use of cookies for non-essential purposes
ppwp_wp_session	30 minutes	ppwp_wp_session is a cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing the user's session on the website. The cookie is a session cookie and is deleted when all browser windows are closed.

Cookie	Varaktighet	Beskrivning
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga_X8W3VDVR14	2 years	This cookie is installed by Google Analytics.
_gat_UA-112487526-1	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
utm_source	7 days	This cookie is used to record from where the visitor came to the website orginally. This information is used by the website operator to know the efficiency of their marketing.

Cookie	Varaktighet	Beskrivning
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
_gcl_au	3 months	Provided by Google Tag Manager to experiment advertisement efficiency of websites using their services.
bcookie	1 year	LinkedIn sets this cookie from LinkedIn share buttons and ad tags to recognize browser ID.
d18efd344f	session	Collects information on user preferences and international with erb content. Used to promote relevant events or products. Session.
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
lidc	1 day	LinkedIn sets the lidc cookie to facilitate data center selection.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
UserMatchHistory	1 month	LinkedIn sets this cookie for LinkedIn Ads ID syncing.
utm_medium	7 days	This cookie is used to record from where the visitor came to the website orginally. This information is used by the website operator to know the efficiency of their marketing.
ZCAMPAIGN_CSRF_TOKEN	session	No description available.
ZMEET_CSRF_TOKEN	session	No description available.